Se han descubierto más de 1.250 modelos de cámaras web que venden marcas como Polaroid y Logitech con vulnerabilidades en sus paneles de administración tan básicas y fáciles de explotar que podrían dar pie a la creación de una red zombi de cámaras web.
Las vulnerabilidades se encuentran en las versiones personalizadas de GoAhead, el servidor web con el que funcionan las cámaras. Sin embargo, el código del servidor original de GoAhead ha sido modificado por el fabricante de las cámaras, la compañía china OEM, que añadió el código vulnerable. Por lo tanto, la compañía que desarrolla GoAhead no puede hacer nada para solucionarlo, sino que la falla pasa a ser responsabilidad de OEM.
El investigador de seguridad Pierre Kim descubrió un total de siete vulnerabilidades de seguridad diferentes mientras ponía a prueba el modelo de cámara IP inalámbrica (P2P) WIFICAM. “Estas vulnerabilidades ayudan al atacante a robar credenciales, cuentas FTP y SMTP (de correo)”, explicó Kim. El experto desarrolló un exploit de prueba de concepto que otorga al atacante permisos de superusuario en el dispositivo.
Una de las vulnerabilidades permite que Telnet se ejecute de forma automática si el usuario cuenta con unas credenciales de acceso público. Otro error otorga acceso a cualquier usuario si deja en blanco los parámetros “loginuse” y “loginpas” cuando ingresa a los archivos de configuración del servidor. Esto permite al atacante descargar los archivos de configuración del dispositivo, que incluyen los datos de sus cuentas FTP y SMTP.
Otra falla consiste en un servidor RTSP que se ejecuta en el puerto TCP 10554, lo que permite que usuarios externos puedan ver lo que la cámara está mostrando sin las autorizaciones correspondientes.
Las cámaras también tienen activada una funcionalidad “en la nube” de forma predeterminada que permite realizar gestiones mediante una aplicación para Android. Cualquier aplicación puede solicitar el acceso a una cámara que esté encendida y el atacante solo necesita el número de serie para que la conexión se establezca de forma automática.
La conexión entre el dispositivo y la aplicación se establece mediante un túnel UDP que el atacante puede explotar para conseguir los archivos de configuración de la cámara o conseguir las credenciales a la fuerza. “Se establece el túnel UDP entre el atacante y la cámara aunque el atacante no tenga las credenciales de acceso”, explicó Kim. “Vale la pena notar que el túnel supera el NAT y cortafuegos, dejándole paso libre al atacante para llegar a las cámaras internas (si están conectadas a Internet) y conseguir las credenciales de acceso a la fuerza”.
La popularidad de los productos comprometidos es un agravante para esta amenaza, ya que 300 compañías de buena reputación, incluyendo D-Link, Foscam, Logitech, Netcam y Polaroid, venden entre 1.250 y 1.800 modelos comprometidos alrededor del mundo. Una búsqueda simple en Shodan detecta casi 200.000 cámaras vulnerables activas a la fecha. El investigador de seguridad ha publicado la lista de modelos afectados con la descripción de las vulnerabilidades en su blog personal.
Pierre Kim recalcó que estas vulnerabilidades convierten a las cámaras en dispositivos aptos para construir una red zombi con mucha facilidad y urgió a los dueños de estos modelos de cámaras que las desconecten de Internet de inmediato hasta que se desarrolle un parche para proteger los dispositivos.
Fuentes
Investigador descubre 200.000 cámaras web servidas en bandeja de plata para construir una red zombi